60 Millionen Betroffene: Google entfernt Apps wegen versteckten Datensammelns aus Play Store

Ein Software-Element sammelt heimlich Daten von Millionen App Usern. Aufgrund dieses betrügerischen Hintergrunds hat Google einige Apps aus dem Play Store entfernt, die auf insgesamt rund 60 Millionen Geräten installiert waren. Die betroffenen App-Entwickler:innen sollen laut Wall Street Journal Geld erhalten haben, um eine Software-Bibliothek zu integrieren, die unbemerkt Daten sammelt. Dabei handelte es sich um Informationen für Internetanbieter:innen und Unternehmen aus der Finanzbranche, die diese für ihre Zwecke verwenden könnten, aber auch um personenbezogene Daten der User.

Google Play Store: Sicherheitsproblem bei den Apps schon 2021 entdeckt

Im Blog AppCensus berichtet Dr. Joel Reardon (Universität Calgary), der den Code zusammen mit Serge Egelman (UC Berkeley) entdeckt hatte, dass man Google bereits im Oktober 2021 über das Problem informiert hatte. Die Entfernung der Apps erfolgte dann, nachdem Google selbst Untersuchungen angestellt hatte.

Der Code stammt von einer vorgeblich panamaischen Firma und wurde bei Apps wie WiFi Mouse oder Wetter Widgets, QR und Barcode Scannern etc. eingesetzt. Dabei wurden schließlich diverse Daten von der Software-Bibliothek gespeichert und weitergeleitet. Beispielsweise ging es um im Clipboard zwischengespeicherte, kopierte Inhalte. Aber auch GPS-Daten, E-Mail-Adressen und Telefonnummern wurden weitergegeben.

Wer hinter dem Scam steckt, ist nicht eindeutig zu ermitteln, die Website-Betreiber:innen und Unternehmen hinter mobile.measurelib.com (nicht mehr erreichbar), die Website, an die die Daten gesendet wurden, sind schwer zu identifizieren. Allerdings konnten die Researcher eine Holding ausmachen, die auch das Unternehmen Measurement Systems registriert hat. Dieses hat laut Wall Street Journal Verbindungen zum Geheimdienst, obwohl das Unternehmen dies abstreitet. Laut Silicon Angle hat das US-Verteidigungsministerium als Reaktion auf die Berichte angegeben, nur „öffentlich und kommerziell“ erhältliche Daten für die eigene Informationserweiterung anzukaufen.

Nach den Angaben von Dr. Reardon ist die Datenbibliothek inzwischen nicht mehr vollständig und Measurement Systems weist bei den eigenen Angaben keine Verbindung mehr zur von ihm entdeckten Holding hinter dem App Scam auf. Alle betroffenen Apps und mehr Informationen findest du im Blogpost auf AppCensus.